Cisco Talos, meşru yazılım ve AI araç yükleyicileri olarak maskelenen siber kilidi fidye yazılımlarını, Lucky_gh0 $ t ve numero kötü amaçlı yazılımları ortaya çıkarır. Bu sahte yükleyicilerin satış, teknoloji ve pazarlamada işletmeleri nasıl kullandıklarını öğrenin.
Cisco Talos’taki siber güvenlik araştırmacıları, iş dünyasında yapay zekanın (AI) artan varlığının siber suçlular için yeni fırsatlar açtığını ortaya koydu. Tehdit aktörleri, AI araçları için sahte yükleyiciler içinde kötü amaçlı yazılımları saklıyor ve işletmeleri kötü amaçlı yazılım indirmeye kandırıyor. Bu yeni dalga siber kilidi ve Lucky_gh0 $ t gibi fidye yazılımı ve Numero adı verilen yıkıcı kötü amaçlı yazılım içerir.
Araştırmacılara göre, bu sahte AI araç yükleyicileri, sahte web siteleri arama sonuçlarının üstünde görünmesi için SEO zehirlenmesi (arama motoru sıralamalarını manipüle etmek) yoluyla çeşitli çevrimiçi kanallar aracılığıyla dağıtılır. Ayrıca, kötü niyetli bağlantılarını yaymak için Telegram gibi sosyal medya ve mesajlaşma platformları kullanılır.
İşletmeler, özellikle satış, teknoloji ve pazarlama alanlarında olanlar, otomasyon, veri analizi ve müşteri katılımı için genellikle meşru AI araçlarını kullandıkları için ana hedeflerdir.
Cisco Talos’un HackRead.com ile paylaştığı raporun detaylandırıldığı gibi, 29 Mayıs Perşembe günü yayınlanmasından önce, şüphesiz kullanıcıların görünüşte zararsız yükleyicileri indirmeleri durumunda, kötü amaçlı yazılımları sistemlerine davet ediyorlar, hassas iş verilerini ve finansal varlıkları riske atıyorlar ve Güven AI çözümlerine güven.
Cisco Talos birkaç tehdit ortaya koyuyor
Siber Kilit Fidye Yazılımı
Şubat 2025 gibi erken bir tarihte gözlemlenen bu fidye yazılımı, NovaLeadsai adı verilen bir kurşun para kazanma platformu olarak ortaya çıkıyor. Operatörleri sahte bir web sitesi oluşturdu, ‘novaleadsaicom‘gerçek’ novaLeads.app ‘taklit etmek. Hatta kurbanları cezbetmek için ilk yıl için aldatıcı “serbest erişim” teklif ettiler.
İndirildikten sonra, ‘novaLeadsai.exe’ adlı bir dosya siber kilidi fidye yazılımını dağıtır. PowerShell ile yazılmış ve CSHARP koduyla gömülü olan bu fidye yazılımı, belgeler, elektronik tablolar, resimler ve videolar dahil olmak üzere çeşitli dosya türlerini şifreler ve Monero (XMR) kripto para biriminde 50.000 dolarlık bir fidye talep eder.
Manipülatif bir taktik olarak, siber suçlular yanlış bir şekilde fidye, Filistin, Ukrayna, Afrika ve Asya gibi bölgelerde insani yardımı destekleyeceğini iddia ediyorlar. Cyberlock ayrıca yerleşik bir Windows aracı ‘Cipher.exe’ aracılığıyla sabit sürücüde boş alanı silmeye çalışır, bu da silinen dosyaları kurtarmayı zorlaştırır.
Lucky_gh0 $ T Ransomware
Bu Yashma Ransomware varyantı (Chaos Ransomware serisinin bir parçası), genellikle ‘ChatGPT 4.0 Full Version – Premium.exe’ olarak sahte ChatGPT yükleyicileri aracılığıyla dağıtılır. Bu kötü niyetli yükleyici, tespiti önleyecek meşru Microsoft AI araçları ile birlikte fidye yazılımı olan ‘dwn.exe’ adlı bir dosya içerir.
Lucky_gh0 $ T dosyaları 1.2GB’dan daha küçük şifreler ve ayrıca daha büyük dosyalar için yıkıcı davranışlara sahiptir ve bunların üzerine tek bir karakterle yazılır. Mağdurlara kişisel bir kimlik verilir ve iletişim için güvenli bir messenger platformu kullanmaları talimatı verilir.
Kötü amaçlı yazılım numarası
Bu yeni keşfedilen yıkıcı kötü amaçlı yazılım, popüler bir çevrimiçi video oluşturma aracı olan Invideo AI için yükleyiciyi taklit ediyor. Ocak 2025’te derlenen, bir kurbanın makinesinde sürekli olarak çalışan bir pencere manipülatör kötü amaçlı yazılımdır ve Windows sistemlerini grafik arayüzlerine müdahale ederek kullanılamaz hale getirir. IDA, X64 Hata Ayıklayıcı ve OLLYDBG gibi yaygın kötü amaçlı yazılım analiz araçlarını kontrol ederek tespit edilmekten kaçınır.
Bu gelişen tehditler göz önüne alındığında, kuruluşlar ve bireyler son derece dikkatli olmalıdır. Her zaman AI araçlarının kaynağını doğrulayın ve yalnızca güvenilir satıcılardan yazılımı indirin.